Zur Zeit geht wieder ein Dienst durch die Webgeekszene, bei dem ich nur mit dem Kopf schütteln kann. Socialthing! ist ein Lifestream-Dienst ähnlich Friendfeed (und dutzende andere). Man kann also seine fragmentierte Onlinepersönlichkeit hier zusammenführen.
Der Twist: Im Gegensatz zu Friendfeed das ausschließlich auf APIs und RSS-Feeds setzt, muss man bei Socialthing! seine Logindaten der aggregierten Dienste eingeben.
!
Hallo? Noch ganz knusper?
Ich finde die Unart, mit Passwörter abzufragen ziemlich, na, bedenklich. Es ist erstaunlich, dass dieser Vorgang mittlerweile als „üblich“ angesehen wird.
Zum Glück wurde mit diesen Passwörtern, die man an dritte Webdienste weitergibt wenigstens noch nie Missbrauch getrieben. Oh, Moment. Da war doch eben erst am Wochenende etwas:
Your Email Password: A True Horror Story About Why We Need Authentication Standards – ReadWriteWeb
Dustin Brooks is a reader of Atwood’s excellent blog Coding Horror and sent Atwood the story of his sleuthing around the app, called G-Archiver.
„It didn’t really have the functionality I was looking for,“ Brooks wrote, „but being a programmer myself I used Reflector to take a peek at the source code. What I came across was quite shocking. John Terry, the apparent creator, hard coded his username and password to his gmail account in source code. All right, not the smartest thing in the world to do, but then I noticed that every time a user adds their account to the program to back up their data, it sends and email with their username and password to his personal email box! Having just entered my own information I became concerned.
„I opened up a browser and logged in to gmail using his account information. It still worked.
„Upon getting to the inbox I was greeted with 1,777 emails with account information for everyone who had ever used the software and right at the top was mine. I decided to go ahead and blast every email to the deleted folder and then empty it. I may have accidentally changed the password and security question to something I don’t remember as well, whoops, my bad. I also contacted google to erase this account as I didn’t see a way to delete it myself.“
Die Ironie, dass der Launch von Socialthing und diese Horrorgeschichte quasi fast zusammenfielen, ist auch einem Kommentator auf TC, das die obige Story auch vorher behandelt hatte, nicht entgangen:
I love that this story comes immediately after this:
“These users should have known better than to type their email credentials into a third party service, so sympathy levels are at a minimum.”
I’ll just hop on over to SocialThing! now and enter my credentials (I wouldn’t anyway, but it was just funny).
Besonders bei GMail, an dem ja noch der ganze Rest an Google-Webdiensten hängt, sollte man besonders vorsichtig sein.
Das dürfte auch einer der Hauptgründe gewesen sein, warum Google als erste eine Oauth-ähnliche API veröffentlicht haben.
Dienste, die umfassenden Zugriff auf meine Accounts auf anderen Seiten benötigen, werde ich auch erst nutzen oder ausprobieren, wenn Oauth oder etwas Vergleichbares die Verzahnung zwischen den Seiten auf ein vernünftige Basis stellen. Alles andere ist einfach nur leichtsinnig.
Denn weder vertraue ich jedem dahergelaufenen Webdienst mit pastellfarbenen abgerundeten Ecken, noch will ich den anscheinend sich mittlerweile einbürgernden leichtfertigen Umgang mit Zugangsdaten unterstützen.
Carsten Pötter says
Ah, coole Sache. Irgendjemand Interesse an meinen Passwörtern für OpenIDs, PassPack und KeePass? Vielleicht noch meine Mail Accounts als Bonus? Ach Quatsch, ich blogge die heute noch.
Der Wahnsinn nimmt seinen Lauf….
Frank Helmschrott says
unfassbar. Aber ich fürchte der Ich-will-auch-eine-Einladung-Wahn wird ihnen wohl genug Zugangsdaten in die Datenbank spülen.
Marcus says
1) socialthing! hat keine runden Ecken ;)
2) FriendFeed benutzt, soweit ich weiß, überhaupt keine APIs sondern grast nur die Feeds ab. Reicht ja eigentlich auch für einfaches Lifestreaming. socialthing! benutzt die APIs, um z.B. direkt von socialthing! aus auf Tweets zu antworten etc. also direkt zu interagieren. Bei FriendFeed kann man nur direkt bei FriendFeed kommentieren. Bezüglich Facebook und Flickr werden keine Passwörter verlangt, die Autorisierung funktioniert über Flickr bzw. Facebook. Andere Dienste bieten das halt leider noch nicht an. Dafür wird aber z.B. nicht das Gmail-Konto abgefragt, wo ich mich viel unwohler fühlen würde, mein Passwort anzugeben, da meine Freunde bei den verschiedenen Diensten automatisch hinzugefügt werden.
Aber mei, muss halt jeder für sich selbst entscheiden.
Nachtrag: Hier noch was zum Lesen vom socialthing!-Blog (Punkt 2!)
Stephan says
Lifestreaming. Was für ein Wort. :D
Und das die Masse es nie begreifen wird, dass man an keinem da draußen seine Daten weitergeben sollte, wird nie und nimmer eintreten. Egal, welche Authentifizierung möglich sein wird. Die Masse sieht das Internet als etwas lokales an, das sich auf ihrem Rechner abspielt. Mehr nicht.
Den Zusammenhang zwischen dem ach so super einfachen Portal, das einem automatisiert die SNs abgrast, die persönlichsten Daten sammelt und der eigenen Privatsphäre ist den meisten nicht verständlich. Menschen sind einfach blöd und erst lernfähig wenn es schon zu spät ist (jemand Schindluder mit den eigenen Daten getrieben hat). Geh mal mit Anzug (und am Besten zu zweit) in die Stadt, tu so, als ob Du wichtig bist, und verlange einfach mal den Personalausweis von anderen. Die meisten werden ihn ohne zu zögern herausgeben. Dass man aus der ID gewisse Informationen ziehen kann, wissen die wenigsten.
Marcel Weiß says
Carsten, :)
Frank, ich unterstelle Socialthing! nicht mal, dass sie Schindluder mit den Zugangsdaten treiben. Ich finde es nur bedenklich, wie allgemein anerkannt das Herausgeben von Passwörtern etc. geworden ist. Dienste wie Socialthing spielen Leuten wie dem GArchiver-Porgrammierer in die Hände weil so das Herausgeben von Passwörtern salongfähig wurde.
Marcus, sorry dass ich Dich als Einzigen rausgegriffen hatte. :)
zu 1) Die runden Ecken und Pastellfarben stehen da doch nur weil ich nicht das W-Wort verwenden wollte. ;)
zu 2) Dass man mit Socialthing mehr machen kann, ist ja klar. Irgendwo sollte es sich auch auszahlen, dass der Dienst kompletten Zugriff auf andere Accounts bekommt.
Und wie ich Frank schon sagte, ich unterstelle den Leuten hinter Socialthing gar nicht mal unlautere Absichten. Es geht mir mehr um die allgemeine Praxis, die schon viel zu lang usus geworden ist.
Stephan, die Aussage, die Masse der Menschen sind Schafe, finde ich etwas übertrieben.
Stephan says
Weiß nicht. Die Welt so komplex, die wenigsten haben Lust und Zeit sich mit allen Thematiken, die ihr Leben beschäftigen, auseinanderzusetzen.
Da nehme ich mich auch gar nicht aus. Ich verstehe das Prinzip eines Automobils auch nur in Grundzügen und muss dem Werkstattmeister vertrauen, wenn er mir mal wieder sagt, dass dies oder das ausgetauscht werden muss.
Warum denken die wenigsten Leute nach, wenn sie Informationen in SNs der Öffentlichkeit zur Verfügung stellen? Oder, wie in diesem Fall, Passwörter zu sensiblen Diensten anderen mitteilen? Klar stellen Nerds solche Dinge in Frage und wissen damit umzugehen. Aber wie die meisten Nerds keine Ahnung haben, wie zum Beispiel Kinder zu unterrichten sind, hat die Grundschullehrerin nicht das Wissen, wie man mit sensiblen Daten im Internet umzugehen hat.
Wie oft hört man den Satz, dass man doch nichts zu verbergen hätte oder wer denn an diesen Informationen Interesse hätte. Sicherlich interessiert sich kein Geheimdienst oder sonstwer für Hans Mustermann, der seine privaten Urlaubsbilder im Internet veröffentlicht hat. Aber wie man am Beispiel der Lufthansapilotin, die das Flugzeug Anfang des Monats bei diesem Beinahe-Umfall gesteuert hat, sieht, werden in solchen Situationen von Medien allerlei Infos gesucht, die auszuschlachten sind.
Was das Crawlen von Daten im Internet angeht, stehen wir meiner Meinung nach, erst am Anfang.
Das meine These recht provokant ist, stelle ich gar nicht in Zweifel. Aber meine Erfahrung mit Nicht-ITlern bestätigt mich immer wieder, wobei es aber auch immer wieder Ausnahmen gibt. Die lassen mich dann aufatmen und hoffen. :)
Andreas says
„Hallo und willkommen bei bankfeed.de,
hier werden alle deine Bankkonten aggregiert. In einem Feed siehst du immer aktuell wo du wieviel Geld hast. Ist die Überweisung nach Lichtenstein schon angekommen? Hat Amazon schon abgebucht? Alles sofort im Feed ersichtlich.
Bitte gebejetzt deine PIN ein: [………]
Und nun bitte deine TAN-Liste: 1. […..] 2. […..] 3. […..]
Und jetzt noch der Name deiner Bank: […………]
Danke!“
Phishing 2.0, sollte man wohl mal probieren ;-)